CVE-2019-5096/5097:GoAhead Web服务器高危漏洞风险提示
2019-12-06 10:27
报告编号:B6-2019-120601
报告来源:360-CERT
报告作者:360-CERT
更新日期:2019-12-06
0x00 漏洞详情
CVE-2019-5096:GoAhead Web Server在multi-part/form-data数据请求的处理中存在一个可利用的代码执行漏洞。恶意的HTTP请求会导致在处理此请求期间出现UAF破坏堆结构从而导致代码执行。该请求可以在未经身份验证的情况下以GET或POST的形式发送,并且不需要所请求的资源在服务器上。
CVE-2019-5097:GoAhead Web Server在multi-part/form-data数据请求的处理中存在一个拒绝服务漏洞。恶意的HTTP请求会导致进程陷入无限循环。该请求可以在未经身份验证的情况下以GET或POST的形式发送,并且不需要所请求的资源在服务器上。
0x01 影响范围
存在漏洞的版本: v5.0.1,v.4.1.1和v3.6.5
不受影响的版本: v5.1.0
根据360CERT的QUAKE全网资产检索系统评估,全网有数百万设备运行着GoAhead服务,考虑到嵌入式设备更新的滞后性,受该漏洞影响的设备较广。
0x02 修复方式
建议参考官方链接升级到不受影响的版本:
https://github.com/embedthis/goahead/releases
https://www.embedthis.com/goahead/download.html
0x03 时间线
2019-12-02 漏洞披露
2019-12-06 360CERT发布风险提示